SOC1米国新基準(AT-C 320)における4つの変更点

SOC1米国新基準(AT-C 320)における4つの変更点

梅澤 泉
梅澤 泉

EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー

2020年9月1日
関連トピック
Technology risk
アシュアランス
リスク

米国公認会計士協会のSOC1新基準であるAT-C Section 320(AT-C 320)の、旧基準AT Section 801(SSAE16)からの主な変更点について解説します。

2017年5月1日以降に発行されている報告書には、同年に米国公認会計士協会が公表したAT-C Section 320「Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting」(以下、AT-C 320)が適用されています。

本基準は、日本で流通している主な受託業務に係る内部統制の保証報告書(日本基準、米国基準、国際基準 )のうち、米国基準に該当します。財務報告に係る内部統制を対象とする基準であるため、米国公認会計士協会のカテゴリでは「SOC1」に該当します。

以下では、従前の米国基準であるAT Section 801「Reporting on Controls at a Service Organization」( SSAE16)(以下、AT 801 )からの主な変更点について解説します。
主な変更点は、次の4つです。

1. 財務報告に係る内部統制を対象とする報告書であることの明示
2. 監査人による内部監査機能の理解
3. 再受託会社の相補的な内部統制
4. 受託会社から提供される情報の検証

なお、SSAEは保証業務基準書(Statements on Standards for Attestation Engagements)を意味し、SSAEに紐づくATは検証業務基準(Attestation Standards)を意味します。また、ATシリーズを明瞭化し、再定義したものがAT-Cシリーズです。

このため、旧基準ではSSAE16とそれに紐づくAT 801、新基準ではSSAE18とそれに紐づくAT-C 320が定義されています。

1. 財務報告に係る内部統制を対象とする報告書であることの明示


<変更点>

AT-C 320では、本基準に基づき発行される報告書が「財務報告に係る内部統制」を対象とするものであることが、あらためて明示されています。基準のタイトルで「財務報告に係る内部統制(Internal Control Over Financial Reporting)」と明示されるとともに、「受託会社監査人の報告書」への記載事項のひとつとして、「委託会社の財務報告に係る内部統制を対象とした報告書であること」が明示されています。AT 801でも、そのスコープとして、財務報告に係る内部統制を対象としている旨は定義されていましたので、実態には変更ありませんが、あらためてその趣旨が強調された形となります。米国では、財務報告に係る内部統制以外の統制目的を保証対象に含んだAT 801報告書が少なからず出回っており、誤った趣旨の報告書が拡散することを防ぐ目的での明示化だと言われています。
 

<受託会社への影響>

実務上、受託会社へ与える影響としては、システム記述書上で設定されている「統制目的」の見直しが考えられます。基準の意味するところに変更があったわけではありませんが、この機会にあらためて、各統制目的が財務報告へ与える影響を検討し、統制目的や、それに紐づく個々の統制を取捨選択する契機となるかもしれません。
 

<ポイント1> 財務報告に係る内部統制を対象とする報告書であることの明示

<ポイント1> 財務報告に係る内部統制を対象とする報告書であることの明示

2. 監査人による内部監査機能の理解


<変更点>

AT-C 320では、受託会社の内部監査機能の理解が受託会社監査人に求められています。AT 801でも、「受託会社監査人による内部監査結果の利用」に係る項で、内部監査機能の理解について言及されていましたが、AT-C 320では、内部監査機能への依拠にかかわらず、受託会社監査人には内部監査機能の責任の性質や、内部監査機能が全社的な組織構造の中でどのように機能するかを理解し、統制リスクに応じた評価手続を計画することが求められています。なお、ここで「内部監査部門」ではなく「内部監査機能(Internal Audit Function)」という用語が用いられているのは、「内部監査部」や「内部監査室」といった内部監査を冠する部署ではなくとも、実質的に内部監査を担っている機能を理解することが求められているためだと考えられます。
 

<受託会社への影響>

実務上、受託会社へ与える影響として、内部監査機能に係る情報を、従前よりも詳細に受託会社監査人へ提供する必要性が出てくる可能性が考えられます。例として、内部監査に係る規定や体制図、内部監査報告書などの受託会社監査人への提示が考えられます。また、受託会社監査人による内部監査機能の理解が進むことで、受託会社監査人の評価における内部監査結果の利用につながるケースも出てくるかもしれません。
 

<ポイント2> 監査人による内部監査機能の理解

<ポイント2> 監査人による内部監査機能の理解

3. 再受託会社の相補的な内部統制


<変更点>

AT 801では委託会社に係る概念として定義されていた「相補的な内部統制」が、AT-C 320では、委託会社だけではなく、除外方式の場合の再受託会社にも関係する概念として定義されています。あらためて補足すると、「相補的な内部統制」は、ある統制目的を達成するために受託会社以外の会社で整備、運用することが必要とされる内部統制です。この内部統制について、委託会社に係るものだけではなく、再受託会社に係るものも識別し、システム記述書上で表現することが必要となりました。一体方式の場合には再受託会社の統制がシステム記述書にAT 801から記載されているため、相補的な内部統制として考える必要はありません。なお、委託会社の相補的な内部統制はCUECs(Complementary User Entity Controls)、再受託会社の相補的な内部統制はC-SSOCs(Complementary Subservice Organization Controls)と略称されます。
 

<受託会社への影響>

除外方式を採っている場合に限られますが、今回の変更点のなかでは、受託会社にとって最も大きく影響するのが、再受託会社の相補的な内部統制だと考えられます。受託会社は、統制目的の達成のために再受託会社で整備、運用が必要となる内部統制を識別し、その統制をシステム記述書で例示することが必要となります。


<ポイント3> 再受託会社の相補的な内部統制

<ポイント3> 再受託会社の相補的な内部統制

4. 受託会社から提供される情報の検証


<変更点>

AT-C 320では、受託会社監査人に、受託会社から受領した情報の検証を求めています。具体的には、正確性、網羅性の観点で、受託会社が提出した証跡を検証することとなります。これらはAT 801から受託会社監査人に当然として求められていた事項ですが、あらためて明示されています。
 

<受託会社への影響>

上述のとおり、受託会社監査人は、受託会社から提供された情報を正確性、網羅性の観点でAT 801から検証してきましたが、これが基準上で強調されたことにより、より詳細な検討が必要となる可能性があり、受託会社としては、監査人に対して資料の正確性、網羅性を担保し、説明する準備が必要となります。受託会社としても、自社の資料について、正確性、網羅性の観点であらためて信頼性を検討する、よい契機となるかもしれません。
 

<ポイント4>  受託会社から提供される情報の検証

<ポイント4>  受託会社から提供される情報の検証

EYの関連サービス

  • 受託業務に係る内部統制の保証業務(SOCR)  

    外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書(保証業務実務指針3402/AT-C320に基づく報告書 )をはじめ、Trustサービス(情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証)など、第三者機関としての報告業務(System and Organization Controls Reporting、以下SOCR )を提供します。

    続きを読む

  • 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)

    企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。

    続きを読む

5. まとめ

以上のように、再受託会社の相補的な内部統制(C-SSOCs)という概念が定義されたことを除けば、新基準AT-C 320は、従前のAT 801でも求められていた事項を明瞭化しているだけであり、実務上の変更点は少ないものと考えられます。ただし、AT 801から求められていた事項をより徹底していくことが必要となるため、受託会社、受託会社監査人の双方にとって、より一層の慎重な対応が求められます。

サマリー

米国公認会計士協会のSOC1新基準であるAT-C Section 320 (AT-C 320)の、旧基準AT Section 801(SSAE16)との主な相違点は「1.財務報告に係る内部統制を対象とする報告書であることの明示」、「2.監査人による内部監査機能の理解」、「3.再受託会社の相補的な内部統制」、「4.受託会社から提供される情報の検証」の4つです。

EYの最新の見解

「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント

クラウドサービスやデータセンターの利用が広がる中、これらのサービスを利用する側の会社は、外部委託先の内部統制の運用の有効性を評価しなければならないことがあります。そのため、その評価方法を理解することが重要になります。

梅澤 泉

クラウドサービスの利用にSOC報告書が必要とされる理由

SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

梅澤 泉

    この記事について

    梅澤 泉
    梅澤 泉
    EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー
    セクターを横断してデータ・プロテクション・リーダーを務める。データ管理およびコントロールを専門とする。
    関連トピック
    Technology risk
    アシュアランス
    リスク

    EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。